《关于电子政务信息安全等级保护》由会员分享,可在线阅读,更多相关《关于电子政务信息安全等级保护(42页珍藏版)》请在金锄头文库上搜索。
1、-关于电子政务信息平安等级保护相关文件的学习报告1 引言1.1 编写目的国家信息化领导小组关于加强信息平安保障工作的意见中办发200327 号,以下简称“27 号文件明确要求我国信息平安保障工作实行等级保护制度,提出“抓紧建立信息平安等级保护制度,制定信息平安等级保护的管理方法和技术指南。2004 年9 月发布的关于信息平安等级保护工作的实施意见公通字200466 号,以下简称“66 号文件进一步强调了开展信息平安等级保护工作的重要意义,规定了实施信息平安等级保护制度的原则、容、职责分工、根本要求和实施方案,部署了实施信息平安等级保护工作的操作方法。27 号文件和66 号文件不但为各行业开展信
2、息平安等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息平安等级保护工作提出了更高的要求。电子政务作为国家信息化战略的重要组成局部,其平安保障事关国家平安和社会稳定,必须按照27 号文件要求,全面实施信息平安等级保护。因此,组织编制电子政务信息平安等级保护实施指南,规电子政务信息平安等级保护工作的根本思路和实施方法,指导我国电子政务建立中的信息平安保障工作,对搞好电子政务信息平安保障具有十分重要的现实意义。1.2 适用围本指南提供了电子政务信息平安等级保护的根本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。1.3 文档构造本指南包括五个章
3、节和两个附录。第1章为引言,介绍了本指南的编写目的、适用围和文档构造;第2章为根本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的平安规划与设计,包括电子政务系统分域报护框架的建立,选择和调整平安措施,以及平安规划与方案设计;第5章描述了平安措施的实施、等级评估,以及等级保护的运行改良。2 根本原理2.1 根本概念电子政务等级保护的根本含义信息平安等级保护是国家在国民经济和社会信息化的开展过程中,提高信息平安保障能力和水平,维护国家平安、社会稳定和
4、公共利益,保障和促进信息化安康开展的根本策略。27 号文件对信息平安等级保护做出了系统的描述“信息化开展的不同阶段和不同的信息系统有着不同的平安需求,必须从实际出发,综合平衡平安本钱和风险,优化信息平安资源的配置,确保重点。要重点保护根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统。电子政务信息平安等级保护是根据电子政务系统在国家平安、经济平安、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定平安保护要求和本钱开销等因素,将其划分成不同的平安保护等级,采取相应的平安保护措施,以保障信息和信息系统的平安。电子政务等级保护工作分为管理层面和用户层面两个方面的工
5、作。管理层的主要工作是制定电子政务信息平安等级保护诉讼的管理方法、定级指南、根本平安要求、等级评估规以及对电子政务等级保护工作的管理等。用户层的主要工作是依据管理层的要求对电子政务系统进展定级,确定系统应采取的平安保障措施,进展系统平安设计与建立,以及运行监控与改良。本指南的容主要针对用户层面的工作。电子政务信息平安等级保护遵三循以下原则:a重点保护原则电子政务等级保护要突出重点。对关系国家平安、经济命脉、社会稳定等方面的重要电子政务系统,应集中资源优先建立。b“谁主管谁负责、谁运营谁负责原则电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责的原则,由各主管部门和运营单位依照国家相关法规和标准
6、,自主确定电子政务系统的平安等级并按照相关要求组织实施平安保障。c分区域保护原则电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同开展水平,分类、分级、分阶段进展实施,通过划分不同的平安区域,实现不同强度的平安保护。d同步建立原则电子政务系统在新建、改建、扩建时应当同步建立信息平安设施,保证信息平安与信息化建立相适应。e) 动态调整原则由于信息与信息系统的应用类型、覆盖围、外部环境等约束条件处于不断变化与开展之中,因此信息与信息系统的平安保护等级需要根据变化情况,适时重新确定,并相应调整对应的保护措施。电子政务平安等级的层级划分66 号文件中规定信息系统的平安等级从低到
7、高依次包括自主保护级、指导保护级、监视保护级、强制保护级、专控保护级五个平安等级。按66 号文件的规定,对电子政务的五个平安等级定义如表2-1 所示。 电子政务等级保护的根本平安要求电子政务等级保护根本平安要对各等级电子政务系统的一般性要求,分为五个等级,从第一级至第五级,对应于五个等级的电子政务系统。对特定电子政务系统的平安保护,以其相应等级的根本平安要求为根底,通过对平安措施的调整和定制,得到适用于该电子政务系统的平安保护措施。电子政务等级保护根本平安要求分为平安策略、平安组织、平安技术和平安运行四个方面。a 平安策略平安策略是为了指导和规电子政务信息平安工作而制定的平安方针、管理制度、规
8、标准、操作流程和记录模板等文档的总和。平安策略具有层次化的构造,包括整体平安策略、部门级平安策略、系统级平安策略等。b 平安组织平安组织是为了保障电子政务信息平安而建立的组织体系,包括各级平安组织机构、岗位平安职责、人员平安管理、第三方平安管理、平安合作与沟通等方面。c 平安技术平安技术是指保障电子政务信息平安的平安技术功能要求和平安技术保障要求,包括网络与通讯平安、主机与平台平安、数据库平安、应用平安、数据平安、物理环境平安等方面。d 平安运行平安运行市委了保障电子政务系统运行过程中的平安而制定的平安运维要求,包括风险管理、配置和变更管理、信息系统工程平安管理、日常运行管理、技术资料平安、应
9、急响应等方面。具体的电子政务等级保护根本平安要求参见相关的国家标准。2.2 根本方法等级保护的要素及其关系电子政务等级保护的根本原理是:依据电子政务系统的使命、目标和重要程度,将系统划分为不同的平安等级,并综合平衡系统特定平安保护要求、系统面临平安风险情况和实施平安保护措施的本钱,进展平安措施的调整和定制,形成与系统平安等级相适应的平安保障体系。电子政务等级保护包含以下七个要素:a 电子政务系统电子政务系统是信息平安等级保护的对象,包括系统中的信息、系统所提供的效劳,以及执行信息处理、存储、传输的软硬件设备等。b 目标目标是指电子政务系统的业务目标和平安目标,电子政务等级保护要保障业务目标和平
10、安目标的实现。c 电子政务信息平安等级电子政务信息平安等级划分为五级,分别表达在电子政务系统的等级和平安保护的等级两个方面。d 平安保护要求不同的电子政务系统具有不同类型和不同强度的平安保护要求。e 平安风险平安风险是指电子政务系统由于本身存在平安弱点,通过人为或自然的威胁可能导致平安事件的发生。平安风险由平安事件发生的可能性及其造成的影响这两种指标来综合衡量。f 平安保护措施平安保护措施是用来对抗平安风险、满足平安保护要求、保护电子政务系统和保障电子政务目标实现的措施,包括平安管理措施和平安技术措施。g 平安保护措施的本钱不同类型和强度的平安保护措施的实现需要不同的本钱,平安保护措施的本钱应
11、包括设备购置本钱、实施本钱、维护本钱和人员本钱等。电子政务等级保护各要素之间的关系是:a 电子政务系统的平安等级由系统的使命、目标和系统重要程度决定。b 平安措施需要满足系统平安保护要求,对抗系统所面临的风险。1) 不同电子政务系统的使命和业务目标的差异性,业务和系统本身的特性所属信息资产特性、实际运行情况和所处环境等的差异性,决定了系统平安保护要求特性平安保护要求的类型和强度的差异性。2) 系统保护要求类型和强度的差异性,平安风险情况的差异性,决定了选择不同类型和强度的平安措施。c 电子政务平安措施确实定需要综合平衡系统保护要求的满足程度、系统面临风险的控制和降低程度、系统剩余风险的承受程度
12、、以及实施平安措施的本钱,在适度本钱下实现适度平安。电子政务等级保护实现方法27 号文件指出,实行信息平安等级保护时“要重视信息平安风险评估工作,对网络与信息系统平安的潜在威胁、薄弱环节、防护措施等进展分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息平安风险等因素,进展相应等级的平安建立和管理。电子政务等级保护的实现方法如图2-1 所示:_电子政务系统实施等级保护的方法是:a依据电子政务平安等级的定级规则,确定电子政务系统的平安等级;b按照电子政务等级保护要求,确定与系统平安等级相对应的根本平安要求;c依据系统根本平安要求,并综合平衡系统平安保护要求、系统所面临风险和实施平安保护
13、措施的本钱,进展平安保护措施的定制,确定适用于特定电子政务系统的平安保护措施,并依照本指南相关要求完成规划、设计、实施和验收。2.3 实施过程电子政务等级保护的实施过程包括三个阶段,分别为:a定级阶段b规划与设计阶段c实施、等级评估与改良阶段电子政务等级保护的根本流程如图2-2 所示:第一阶段:定级定级阶段主要包括两个步骤:a系统识别与描述清晰地了解政务机构所拥有的电子政务系统,根据需要将复杂电子政务系统分解为电子政务子系统,描述系统和子系统的组成及边界。b等级确定完成电子政务系统总体定级和子系统的定级。第二阶段:规划与设计规划与设计阶段主要包括三个步骤,分别为:系统分域保护框架建立通过对电子
14、政务系统进展平安域划分、保护对象分类,建立电子政务系统的分域保护框架。b选择和调整平安措施根据电子政务系统和子系统的平安等级,选择对应等级的根本平安要求,并根据风险评估的结果,综合平衡平安风险和本钱,以及各系统特定平安要求,选择和调整平安措施,确定出电子政务系统、子系统和各类保护对象的平安措施。c平安规划和方案设计根据所确定的平安措施,制定平安措施的实施规划,并制定平安技术解决方案和平安管理解决方案。第三阶段:实施、等级评估与改良实施、等级评估与改良阶段主要包括三个步骤,分别为:a平安措施的实施依据平安解决方案建立和实施等级保护的平安技术措施和平安管理措施。b评估与验收按照等级保护的要求,选择
15、相应的方式来评估系统是否满足相应的等级保护要求,并对等级保护建立的最终结果进展验收。c运行监控与改良运行监控是在实施等级保护的各种平安措施之后的运行期间,监控系统的变化和系统平安风险的变化,评估系统的平安状况。如果经评估发现系统及其风险环境已发生重大变化,新的平安保护要求与原有的平安等级已不相适应,则应进展系统重新定级。如果系统只发生局部变化,例如发现新的系统漏洞,这些改变不涉及系统的信息资产和威胁状况的根本改变,则只需要调整和改良相应的平安措施。对于大型复杂电子政务系统,等级保护过程可以根据实际情况进一步加强和细化,以满足其复杂性的要求。附录B 给出了大型复杂电子政务系统等级保护实施过程的例如。新建电子政务系统的等级保护工作与已经建成的电子政务系统之间,在等级保护工作的切入点方面是不一样的,它们各自的切入点及其对应关系如图2-3 所示。新建电子政务系统在启动时,应当按照等级保护的要求来建立。a系统规划阶段,应分析并确定所建电子政务系统的平安等级,并在工程建议书中对系统的平安等级进展论证。b系统设计阶段,要根据所确定的系统平安等级,设计系统的平安保护措施,并在可行性分析中论证平安保护措施;c系统实施阶段,要与信息系统建立同步进展
